Blocco di specifici protocolli di rete e porte utilizzando IPSec

Le regole di filtro IPSec (Internet Protocol Security) possono essere utilizzate per aiutare a proteggere computer basati su Windows 2000, Windows XP e Windows Server 2003 dalla minaccia di virus e worm provenienti dalla rete. In questo articolo viene descritto come filtrare il traffico di rete in entrata e in uscita in base a una particolare combinazione di protocollo e porta. Vengono anche descritte le procedure per determinare se esistono criteri IPSec attualmente assegnati a un computer basato su Windows 2000, Windows XP o Windows Server 2003, per creare e assegnare un nuovo criterio IPSec e per annullare l'assegnazione ed eliminare un criterio IPSec.

I criteri IPSec possono essere applicati localmente o a un membro di un dominio come parte dei criteri di gruppo di tale dominio. I criteri IPSec locali possono essere statici (preservati) oppure dinamici (non preservati). I criteri IPSec statici sono scritti nel Registro di sistema locale e vengono conservati anche dopo il riavvio del sistema operativo, mentre quelli dinamici non vengono scritti in maniera permanente nel Registro di sistema e vengono rimossi se il sistema operativo o il servizio Agente criteri IPSec viene riavviato.

Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema utilizzando Ipsecpol.exe. Prima di modificare il Registro di sistema, assicurarsi di sapere come ripristinarlo in caso di problemi. Per informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito: Nota Le regole di filtro IPSec possono causare nei programmi di rete la perdita di dati o l'interruzione dell'attività di risposta alle richieste della rete, tra cui anche la mancata autenticazione degli utenti. Si consiglia pertanto di utilizzare le regole di filtro IPSec solo come ultima misura difensiva e solo dopo avere valutato attentamente l'impatto del blocco di specifiche porte sull'ambiente in uso. Se un criterio IPSec creato utilizzando la procedura elencata in questo articolo produce effetti indesiderati sui programmi di rete, vedere la sezione "Annullare l'assegnazione ed eliminare un criterio IPSec" di seguito in questo articolo per informazioni su come disabilitare ed eliminare immediatamente il criterio in questione.

Determinare se un criterio IPSec è assegnato

Computer basati su Windows Server 2003

Prima di creare o assegnare qualsiasi nuovo criterio IPSec a un computer basato su Windows Server 2003, determinare se esistono criteri IPSec applicati mediante il Registro di sistema locale o un oggetto Criteri di gruppo. A questo scopo, attenersi alla seguente procedura:

1. Installare Netdiag.exe dal CD di Windows Server 2003 eseguendo Suptools.msi dalla cartella Support\Tools.
2. Aprire il prompt dei comandi e impostare la cartella di lavoro su C:\Programmi\Support Tools.
3. Eseguire il comando riportato di seguito per verificare che non esista già un criterio IPSec assegnato al computer:
   netdiag /test:ipsec
   Se non è assegnato alcun criterio verrà visualizzato il seguente messaggio:
   IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Computer basati su Windows XP

Prima di creare o assegnare qualsiasi nuovo criterio IPSec a un computer basato su Windows XP, determinare se esistono criteri IPSec applicati mediante il Registro di sistema locale o un oggetto Criteri di gruppo. A questo scopo, attenersi alla seguente procedura:

1. Installare Netdiag.exe dal CD di Windows XP eseguendo Setup.exe dalla cartella Support\Tools.
2. Aprire il prompt dei comandi e impostare la cartella di lavoro su C:\Programmi\Support Tools.
3. Eseguire il comando riportato di seguito per verificare che non esista già un criterio IPSec assegnato al computer:
   netdiag /test:ipsec
   Se non è assegnato alcun criterio verrà visualizzato il seguente messaggio:
   IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Computer basati su Windows 2000

Prima di creare o assegnare qualsiasi nuovo criterio IPSec a un computer basato su Windows 2000, determinare se esistono criteri IPSec applicati mediante il Registro di sistema locale o un oggetto Criteri di gruppo. A questo scopo, attenersi alla seguente procedura:

1. Installare Netdiag.exe dal CD di Windows 2000 eseguendo Setup.exe dalla cartella Support\Tools.
2. Aprire il prompt dei comandi e impostare la cartella di lavoro su C:\Programmi\Support Tools.
3. Eseguire il comando riportato di seguito per verificare che non esista già un criterio IPSec assegnato al computer:
   netdiag /test:ipsec
   Se non è assegnato alcun criterio verrà visualizzato il seguente messaggio:
   IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Creare un criterio statico per il blocco del traffico

Computer basati su Windows Server 2003 e Windows XP

Per i sistemi per cui non è abilitato localmente alcun criterio IPSec, creare un nuovo criterio statico locale mediante cui bloccare il traffico diretto a una specifica combinazione di protocollo e porta di computer basati su Windows Server 2003 e Windows XP. A questo scopo, attenersi alla seguente procedura:

1. Verificare che il servizio Agente criteri IPSec sia abilitato e avviato nello snap-in MMC Servizi.
2. Installare IPSeccmd.exe. IPSeccmd.exe fa parte degli Strumenti di supporto di Windows inclusi nel Service Pack 2 (SP2) di Windows XP.
   
   Nota IPSeccmd.exe viene eseguito su sistemi operativi Windows XP e Windows Server 2003, ma lo strumento è disponibile solo nel pacchetto degli Strumenti di supporto di Windows XP SP2.
   
   Per ulteriori informazioni sul download e sull'installazione degli Strumenti di supporto di Windows XP Service Pack 2, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
   838079

   (http://support.microsoft.com/kb/838079/ )

   Strumenti di supporto di Windows XP Service Pack 2
3. Aprire un prompt dei comandi e impostare come cartella di lavoro la cartella di installazione degli Strumenti di supporto di Windows XP Service Pack 2.
   
   Nota La cartella di installazione predefinita degli Strumenti di supporto di Windows XP SP2 è C:\Programmi\Support Tools.
4. Per creare un nuovo criterio IPSec locale e una regola di filtro per il traffico di rete proveniente da qualsiasi indirizzo IP e diretto all'indirizzo IP del computer basato su Windows Server 2003 o su Windows XP che si sta configurando, utilizzare il comando riportato di seguito.
   
   Nota Nel seguente comando, Protocollo e NumeroPorta sono variabili.
   IPSeccmd.exe -w REG -p "Filtro ProtocolloNumeroPorta blocco" -r "Regola blocco entrata ProtocolloNumeroPorta " -f *=0:NumeroPorta:Protocollo -n BLOCK ?x
   Per bloccare ad esempio il traffico di rete proveniente da qualsiasi combinazione di indirizzo IP e porta di origine e diretto alla porta di destinazione UDP 1434 di un computer basato su Windows Server 2003 o Windows XP, digitare il comando riportato di seguito. Questo criterio è sufficiente a proteggere i computer che eseguono Microsoft SQL Server 2000 dal virus worm "Slammer".
   IPSeccmd.exe -w REG -p "Filtro blocco UDP 1434" -r "Regola blocco entrata UDP 1434" -f *=0:1434:UDP -n BLOCK -x
   Il comando di esempio riportato di seguito consente di bloccare l'accesso in entrata alla porta TCP 80 pur consentendo l'accesso in uscita da tale porta. Questo criterio è sufficiente a proteggere i computer che eseguono Microsoft Internet Information Services (IIS) 5.0 dai virus worm "Code Red" e "Nimda".
   IPSeccmd.exe -w REG -p "Filtro blocco TCP 80" -r "Regola blocco entrata TCP 80" -f *=0:80:TCP -n BLOCK -x
   Nota Il parametro -x assegna immediatamente il criterio. Se si utilizza questo comando, verrà annullata l'assegnazione del criterio "Filtro blocco UDP 1434" e verrà assegnato il criterio "Filtro blocco TCP 80". Per aggiungere quest'ultimo criterio senza tuttavia assegnarlo, digitare il comando senza parametro finale -x.
5. Per aggiungere un'ulteriore regola di filtro al criterio "Filtro blocco UDP 1434" per bloccare il traffico di rete in uscita da computer basati su Windows Server 2003 o Windows XP verso qualsiasi indirizzo IP, utilizzare il comando riportato di seguito.
   
   Nota In questo comando, Protocollo e NumeroPorta sono variabili:
   IPSeccmd.exe -w REG -p "Filtro ProtocolloNumeroPorta blocco" -r "Regola blocco uscita ProtocolloNumeroPorta " -f *=0:NumeroPorta:Protocollo -n BLOCK
   Per bloccare ad esempio il traffico di rete in uscita da computer basati su Windows Server 2003 o Windows XP e diretto alla porta UDP 1434 di qualsiasi altro host, utilizzare il comando riportato di seguito. Questo criterio è sufficiente a proteggere i computer che eseguono Microsoft SQL Server 2000 dal virus worm "Slammer".
   IPSeccmd.exe -w REG -p "Filtro blocco UDP 1434" -r "Regola blocco uscita UDP 1434" -f 0=*:1434:UDP -n BLOCK
   Nota È possibile aggiungere quante regole di filtro si desidera a un criterio utilizzando questo comando. Ad esempio è possibile utilizzare questo comando per bloccare più porte utilizzando lo stesso criterio.
6. Il criterio descritto al passaggio 5 sarà ora attivo e tale rimarrà anche dopo ogni riavvio del computer. Se tuttavia in seguito verrà assegnato al computer locale un criterio IPSec a livello di dominio, il criterio locale verrà ignorato e non più applicato.
   
   Per verificare che l'assegnazione della regola di filtro sia andata a buon fine, al prompt dei comandi impostare come cartella di lavoro la cartella C:\Programmi\Support Tools e digitare il seguente comando:
   netdiag /test:ipsec /debug
   Se sono applicati criteri per il traffico in entrata e in uscita come in questi esempi, verrà visualizzato il seguente messaggio:
   IP Security test . . . . . . . . . :
   Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}
   
   There are 2 filters
   No Name
   Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
   Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
   Src Addr: 0.0.0.0 Src Mask : 0.0.0.0
   Dest Addr: 192.168.1.1 Dest Mask : 255.255.255.255
   Tunnel Addr: 0.0.0.0 Src Port : 0 Dest Port : 1434
   Protocol : 17 TunnelFilter: No
   Flags : Inbound Block
   No Name
   Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
   Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
   Src Addr: 192.168.1.1 Src Mask : 255.255.255.255
   Dest Addr: 0.0.0.0 Dest Mask : 0.0.0.0
   Tunnel Addr: 0.0.0.0 Src Port : 0 Dest Port : 1434
   Protocol : 17 TunnelFilter: No
   Flags : Outbound Block
   Nota Gli indirizzi IP e i GUID varieranno a seconda che il computer sia basato su Windows Server 2003 o su Windows XP.

Computer basati su Windows 2000

Nei sistemi in cui non è abilitato localmente alcun criterio IPSec, attenersi alla procedura descritta di seguito per creare un nuovo criterio statico locale mediante cui bloccare il traffico diretto a uno specifico protocollo e a una specifica porta di un computer basato su Windows 2000 in cui non sia assegnato alcun criterio IPSec esistente:

1. Verificare che il servizio Agente criteri IPSec sia abilitato e avviato nello snap-in MMC Servizi.
2. Visitare il seguente sito Web Microsoft per scaricare e installare Ipsecpol.exe (informazioni in lingua inglese):
   http://www.microsoft.com/downloads/details.aspx?FamilyID=7d40460c-a069-412e-a015-a2ab904b7361&DisplayLang=en

   (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361)
3. Aprire un prompt dei comandi e impostare come cartella di lavoro la cartella di installazione di Ipsecpol.exe.
   
   Nota La cartella di installazione predefinita di Ipsecpol.exe è C:\Programmi\Resource Kit.
4. Per creare un nuovo criterio IPSec locale e una regola di filtro per il traffico di rete proveniente da qualsiasi indirizzo IP e diretto all'indirizzo IP del computer basato su Windows 2000 che si sta configurando, utilizzare il comando riportato di seguito, dove Protocollo e NumeroPorta sono variabili:
   ipsecpol -w REG -p "Filtro ProtocolloNumeroPorta blocco" -r "Regola blocco entrata ProtocolloNumeroPorta " -f *=0:NumeroPorta:Protocollo -n BLOCK ?x
   Per bloccare ad esempio il traffico di rete proveniente da qualsiasi indirizzo IP e da qualsiasi porta di origine e diretto alla porta di destinazione UDP 1434 di un computer basato su Windows 2000, digitare il comando riportato di seguito. Questo criterio è sufficiente a proteggere i computer che eseguono Microsoft SQL Server 2000 dal virus worm "Slammer".
   ipsecpol -w REG -p "Filtro blocco UDP 1434" -r "Regola blocco entrata UDP 1434" -f *=0:1434:UDP -n BLOCK -x
   L'esempio riportato di seguito consente di bloccare l'accesso in entrata alla porta TCP 80 consentendo invece l'accesso in uscita da tale porta Questo criterio è sufficiente a proteggere i computer che eseguono Microsoft Internet Information Services (IIS) 5.0 dai virus worm "Code Red" e "Nimda".
   ipsecpol -w REG -p "Filtro blocco TCP 80" -r "Regola blocco entrata TCP 80" -f *=0:80:TCP -n BLOCK -x
   Nota Il parametro -x consente di assegnare immediatamente il criterio. Se si utilizza questo comando, verrà annullata l'assegnazione del criterio "Filtro blocco UDP 1434" e verrà assegnato il criterio "Filtro blocco TCP 80". Per aggiungere quest'ultimo criterio senza tuttavia assegnarlo, digitare il comando senza parametro finale -x.
5. Per aggiungere un'ulteriore regola di filtro al criterio esistente "Filtro blocco UDP 1434" mediante cui bloccare il traffico di rete proveniente dal computer basato su Windows 2000 e diretto a qualsiasi indirizzo IP, utilizzare il comando illustrato di seguito, dove Protocollo e NumeroPorta sono variabili:
   ipsecpol -w REG -p "Filtro ProtocolloNumeroPorta blocco" -r "Regola blocco uscita ProtocolloNumeroPorta " -f *=0:NumeroPorta:Protocollo -n BLOCK
   Per bloccare ad esempio qualsiasi traffico di rete in uscita dal computer basato su Windows 2000 e diretto alla porta UDP 1434 di qualsiasi altro host, utilizzare il comando riportato di seguito. Questo criterio è sufficiente a proteggere i computer che eseguono Microsoft SQL Server 2000 dal virus worm "Slammer".
   ipsecpol -w REG -p "Filtro blocco UDP 1434" -r "Regola blocco uscita UDP 1434" -f 0=*:1434:UDP -n BLOCK
   Nota È possibile aggiungere quante regole di filtro si desidera a un criterio utilizzando questo comando, ad esempio per bloccare più porte utilizzando lo stesso criterio.
6. Il criterio descritto al passaggio 5 sarà ora attivo e tale rimarrà anche dopo ogni riavvio del computer. Se tuttavia in seguito verrà assegnato al computer locale un criterio IPSec a livello di dominio, il criterio locale verrà ignorato e non più applicato. Per verificare che l'assegnazione della regola di filtro sia andata a buon fine, al prompt dei comandi impostare come cartella di lavoro la cartella C:\Programmi\Support Tools e digitare il seguente comando:
   netdiag /test:ipsec /debug
   Se, come in questi esempi, sono applicati criteri per il traffico in entrata e in uscita, verrà visualizzato il seguente messaggio:
   IP Security test . . . . . . . . . :
   Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}
   
   There are 2 filters
   No Name
   Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
   Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
   Src Addr: 0.0.0.0 Src Mask : 0.0.0.0
   Dest Addr: 192.168.1.1 Dest Mask : 255.255.255.255
   Tunnel Addr: 0.0.0.0 Src Port : 0 Dest Port : 1434
   Protocol : 17 TunnelFilter: No
   Flags : Inbound Block
   No Name
   Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
   Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
   Src Addr: 192.168.1.1 Src Mask : 255.255.255.255
   Dest Addr: 0.0.0.0 Dest Mask : 0.0.0.0
   Tunnel Addr: 0.0.0.0 Src Port : 0 Dest Port : 1434
   Protocol : 17 TunnelFilter: No
   Flags : Outbound Block
   Nota Gli indirizzi IP e i GUID varieranno, in quanto relativi al computer basato su Windows 2000.

Aggiungere una regola di blocco per una specifica combinazione di protocollo e porta

Computer basati su Windows Server 2003 e Windows XP

Per aggiungere una regola di blocco per una specifica combinazione di protocollo e porta in un computer basato su Windows Server 2003 o Windows XP a cui è assegnato localmente un criterio IPSec statico, attenersi alla procedura seguente:

1. Installare IPSeccmd.exe. IPSeccmd.exe fa parte degli Strumenti di supporto di Windows inclusi nel Service Pack 2 (SP2) di Windows XP.
   
   Per ulteriori informazioni sul download e sull'installazione degli Strumenti di supporto di Windows XP Service Pack 2, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
   838079

   (http://support.microsoft.com/kb/838079/ )

   Strumenti di supporto di Windows XP Service Pack 2
2. Identificare il nome del criterio IPSec attualmente assegnato. A tale scopo, al prompt dei comandi digitare quanto riportato di seguito:
   netdiag /test:ipsec
   Se è assegnato un criterio verrà visualizzato un messaggio analogo al seguente:
   IP Security test . . . . . . . . . : Passed
   Local IPSec Policy Active: 'Filtro blocco UDP 1434'
3. Se un criterio IPSec è già assegnato al computer, in locale o a livello di dominio, utilizzare il comando illustrato di seguito per aggiungere un'ulteriore regola di filtro di blocco al criterio IPSec esistente.
   
   Nota In questo comando, Nome_Criterio_IPSec_Esistente, Protocollo e NumeroPorta sono variabili.
   IPSeccmd.exe -p "Nome_Criterio_IPSec_Esistente" -w REG -r "Regola blocco ProtocolloNumeroPorta " -f *=0:NumeroPorta:Protocollo -n BLOCK
   Ad esempio, per aggiungere al filtro di blocco UDP 1434 esistente una regola di filtro per il blocco dell'accesso in entrata alla porta TCP 80, utilizzare il comando seguente:
   IPSeccmd.exe -p "Filtro blocco UDP 1434" -w REG -r "Regola blocco entrata TCP 80" -f *=0:80:TCP -n BLOCK

Computer basati su Windows 2000

Per aggiungere una regola di blocco per una specifica combinazione di protocollo e porta in un computer basato su Windows 2000 a cui è assegnato localmente un criterio IPSec statico, attenersi alla procedura seguente:

1. Visitare il seguente sito Web Microsoft per scaricare e installare Ipsecpol.exe:
   http://support.microsoft.com/kb/927229

   (http://support.microsoft.com/kb/927229)
2. Identificare il nome del criterio IPSec attualmente assegnato. A tale scopo, al prompt dei comandi digitare quanto riportato di seguito:
   netdiag /test:ipsec
   Se è assegnato un criterio verrà visualizzato un messaggio analogo al seguente:
   IP Security test . . . . . . . . . : Passed
   Local IPSec Policy Active: 'Filtro blocco UDP 1434'
3. Se un criterio IPSec è già assegnato al computer, in locale o a livello di dominio, utilizzare il comando illustrato di seguito per aggiungere un'ulteriore regola di filtro di blocco al criterio IPSec esistente, dove Nome_Criterio_IPSec_Esistente, Protocollo e NumeroPorta sono variabili:
   ipsecpol -p "Nome_Criterio_IPSec_Esistente" -w REG -r "Regola blocco ProtocolloNumeroPorta " -f *=0:NumeroPorta:Protocollo -n BLOCK
   Ad esempio, per aggiungere al filtro di blocco UDP 1434 esistente una regola di filtro per il blocco dell'accesso in entrata alla porta TCP 80, utilizzare il comando seguente:
   ipsecpol -p "Filtro blocco UDP 1434" -w REG -r "Regola blocco entrata TCP 80" -f *=0:80:TCP -n BLOCK

Aggiungere un criterio di blocco dinamico per una specifica combinazione di protocollo e porta

Computer basati su Windows Server 2003 e Windows XP

In alcuni casi può essere necessario bloccare temporaneamente l'accesso a una specifica porta, ad esempio finché non sia stato installato un hotfix oppure se al computer è già assegnato un criterio IPSec a livello di dominio. Per bloccare temporaneamente l'accesso a una porta di un computer basato su Windows Server 2003 o su Windows XP utilizzando i criteri IPSec, attenersi alla procedura seguente:

1. Installare IPSeccmd.exe. IPSeccmd.exe fa parte degli Strumenti di supporto di Windows inclusi nel Service Pack 2 (SP2) di Windows XP.
   
   Nota IPSeccmd.exe viene eseguito su sistemi operativi Windows XP e Windows Server 2003, ma lo strumento è disponibile solo nel pacchetto degli Strumenti di supporto di Windows XP SP2.
   
   Per ulteriori informazioni sul download e sull'installazione degli Strumenti di supporto di Windows XP Service Pack 2, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
   838079

   (http://support.microsoft.com/kb/838079/ )

   Strumenti di supporto di Windows XP Service Pack 2
2. Per aggiungere un filtro dinamico che blocchi tutti i pacchetti provenienti da qualsiasi indirizzo IP e diretti all'indirizzo IP del proprio sistema e a una porta specifica, al prompt dei comandi digitare il comando riportato di seguito.
   
   Nota Nel seguente comando, Protocollo e NumeroPorta sono variabili.
   IPSeccmd.exe -f [*=0:NumeroPorta:Protocollo]
   Nota Questo comando crea il filtro di blocco in maniera dinamica, in modo che il criterio rimanga assegnato fino a quando il servizio Agente criteri IPSec sarà in funzione. Se il servizio Agente criteri IPSec o il computer viene riavviato, l'impostazione andrà persa. Se si desidera riassegnare dinamicamente tale regola di filtro IPSec ogni volta che il sistema viene riavviato, creare uno script di avvio per riapplicare la regola. Se si desidera applicare in maniera permanente questo filtro, configurarlo come criterio IPSec statico. Lo snap-in MMC Gestione criteri IPSec offre un'interfaccia grafica utente mediante cui gestire la configurazione dei criteri IPSec. Se è già applicato un criterio IPSec a livello di dominio, il comando netdiag /test:ipsec /debug potrebbe visualizzare solo i dettagli del filtro, se eseguito da un utente con credenziali di amministratore di dominio.

Computer basati su Windows 2000

In alcuni casi può essere necessario bloccare temporaneamente una determinata porta, ad esempio finché non sia stato installato un hotfix oppure se è già assegnato al computer un criterio IPSec a livello di dominio. Per bloccare temporaneamente l'accesso a una porta di un computer basato su Windows 2000 utilizzando i criteri IPSec, attenersi alla procedura seguente:

1. Visitare il seguente sito Web Microsoft per scaricare e installare Ipsecpol.exe:
   http://support.microsoft.com/kb/927229

   (http://support.microsoft.com/kb/927229)
2. Per aggiungere un filtro dinamico che blocchi tutti i pacchetti provenienti da qualsiasi indirizzo IP e diretti all'indirizzo IP del proprio sistema e a una porta specifica, al prompt dei comandi digitare il comando riportato di seguito, dove Protocollo e NumeroPorta sono variabili:
   ipsecpol -f [*=0:NumeroPorta:Protocollo]
   Nota Questo comando crea il filtro di blocco in maniera dinamica in modo che il criterio rimanga assegnato fino a quanto il servizio Agente criteri IPSec sarà in funzione. Se il servizio IPSec o il computer viene riavviato, l'impostazione andrà persa. Se si desidera riassegnare dinamicamente tale regola di filtro IPSec ogni volta che il sistema viene riavviato, creare uno script di avvio per riapplicare la regola. Se si desidera applicare in maniera permanente questo filtro, configurarlo come criterio IPSec statico. Lo snap-in MMC Gestione criteri IPSec offre un'interfaccia grafica utente mediante cui gestire la configurazione dei criteri IPSec. Se è già applicato un criterio IPSec a livello di dominio, il comando netdiag /test:ipsec /debug potrebbe visualizzare solo i dettagli del filtro, se eseguito da un utente con credenziali di amministratore di dominio. Nel Service Pack 4 per Windows 2000 verrà resa disponibile una versione aggiornata di Netdiag.exe che consentirà agli amministratori di visualizzare i criteri IPSec applicati a livello di dominio.

Regole di filtro IPSec e Criteri di gruppo

Negli ambienti in cui i criteri IPSec sono assegnati mediante un'impostazione dei Criteri di gruppo, è necessario aggiornare il criterio dell'intero dominio per bloccare una particolare combinazione di protocollo e porta. Una volta configurate correttamente le impostazioni IPSec dei Criteri di gruppo, è necessario aggiornare le impostazioni dei Criteri di gruppo di tutti i computer basati su Windows Server 2003, Windows XP e Windows 2000 del dominio utilizzando il comando seguente: La modifica al criterio IPSec verrà rilevata entro uno o due intervalli di polling. Ogni nuovo criterio IPSec assegnato a un oggetto Criteri di gruppo verrà assegnato ai client entro il periodo di tempo impostato per l'intervallo di polling dei Criteri di gruppo oppure quando il comando secedit /refreshpolicy machine_policy verrà eseguito sui computer client. Se il criterio IPSec è già assegnato a un oggetto Criteri di gruppo e vengono aggiunti nuovi filtri o regole IPSec a un criterio esistente, il comando secedit non consentirà a IPSec di riconoscere le modifiche. In tal caso, le modifiche a un criterio IPSec basato su un oggetto Criteri di gruppo esistente verranno rilevate entro l'intervallo di polling di tale criterio IPSec. Tale intervallo è specificato nella scheda Generale del criterio IPSec. È anche possibile forzare un aggiornamento delle impostazioni del criteri IPSec riavviando il servizio Agente criteri IPSec. Se il servizio IPSec viene arrestato e riavviato, le comunicazioni protette IPSec verranno interrotte e ci vorranno alcuni secondi per riprenderle. Ciò potrebbe causare la disconnessione dei programmi, particolarmente per le connessioni su cui è in corso il trasferimento di volumi elevati di dati. Nelle situazioni in cui il criterio IPSec è applicato solo al computer locale, non sarà necessario riavviare il servizio.

Annullare l'assegnazione ed eliminare un criterio IPSec

Computer basati su Windows Server 2003 e Windows XP

• Computer in cui è definito un criterio statico locale
  1. Aprire un prompt dei comandi e impostare come cartella di lavoro la cartella di installazione di Ipsecpol.exe.
  2. Per annullare l'assegnazione del filtro creato in precedenza, utilizzare il comando seguente:
     IPSeccmd.exe -w REG -p "Filtro ProtocolloNumeroPorta blocco" ?y
     Ad esempio, per annullare l'assegnazione del filtro di blocco UDP 1434 creato in precedenza, utilizzare il comando seguente:
     IPSeccmd.exe -w REG -p "Filtro blocco UDP 1434" -y
  3. Per eliminare il filtro creato in precedenza, utilizzare il comando seguente:
     IPSeccmd.exe -w REG -p "Filtro ProtocolloNumeroPorta blocco" -r "Regola blocco ProtocolloNumeroPorta " ?o
     Per eliminare ad esempio il filtro di blocco UDP 1434 ed entrambe le regole create, utilizzare il comando seguente:
     IPSeccmd.exe -w REG -p "Filtro blocco UDP 1434" -r "Regola blocco entrata UDP 1434" -r "Regola blocco uscita UDP 1434" -o
• Computer in cui è definito un criterio dinamico locale
  L'applicazione del criterio IPSec dinamico verrà annullata se il servizio Agente criteri IPSec viene arrestato utilizzando il comando net stop policyagent. Per eliminare gli specifici comandi utilizzati senza dover arrestare il servizio Agente criteri IPSec, attenersi alla seguente procedura:
  1. Aprire un prompt dei comandi e impostare come cartella di lavoro la cartella di installazione degli Strumenti di supporto di Windows XP Service Pack 2.
  2. Digitare il seguente comando:
     IPSeccmd.exe ?u
     Nota È anche possibile riavviare il servizio Agente criteri IPSec per annullare tutti i criteri assegnati dinamicamente.

Computer basati su Windows 2000

• Computer in cui è definito un criterio statico locale
  1. Aprire un prompt dei comandi e impostare come cartella di lavoro la cartella di installazione di Ipsecpol.exe.
  2. Per annullare l'assegnazione del filtro creato in precedenza, utilizzare il comando seguente:
     ipsecpol -w REG -p "Filtro ProtocolloNumeroPorta blocco" ?y
     Ad esempio, per annullare l'assegnazione del filtro di blocco UDP 1434 creato in precedenza, utilizzare il comando seguente:
     ipsecpol -w REG -p "Filtro blocco UDP 1434" -y
  3. Per eliminare il filtro creato in precedenza, utilizzare il comando seguente:
     ipsecpol -w REG -p "Filtro ProtocolloNumeroPorta blocco" -r "Regola blocco ProtocolloNumeroPorta " ?o
     Per eliminare ad esempio il filtro di blocco UDP 1434 ed entrambe le regole create in precedenza, utilizzare il comando seguente:
     ipsecpol -w REG -p "Filtro blocco UDP 1434" -r "Regola blocco entrata UDP 1434" -r "Regola blocco uscita UDP 1434" -o
• Computer in cui è definito un criterio statico locale
  
  L'applicazione del criterio IPSec dinamico verrà annullata se il servizio Agente criteri IPSec viene arrestato (utilizzando il comando net stop policyagent). Per eliminare tuttavia gli specifici comandi utilizzati in precedenza senza dover arrestare il servizio Agente criteri IPSec, attenersi alla seguente procedura:
  1. Aprire un prompt dei comandi e impostare come cartella di lavoro la cartella di installazione di Ipsecpol.exe.
  2. Digitare il seguente comando:
     Ipsecpol ?u
     Nota È anche possibile riavviare il servizio Agente criteri IPSec per annullare tutti i criteri assegnati dinamicamente.

Applicare la regola di filtro a tutte le combinazioni di protocollo e porta

Per impostazione predefinita, in Microsoft Windows 2000 e Microsoft Windows XP, IPSec esonera il traffico Broadcast, Multicast, RSVP, IKE e Kerberos da tutte le limitazioni imposte da filtri e autenticazione. Per ulteriori informazioni in proposito, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:Laddove IPSec è utilizzato solo per consentire e bloccare il traffico, rimuovere le esenzioni per i protocolli Kerberos e RSVP modificando un apposito valore del Registro di sistema. Per informazioni dettagliate in proposito, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:Attenendosi a queste istruzioni è possibile aiutare a proteggere la porta UDP 1434 anche nei casi in cui utenti malintenzionati riescano a impostare la propria porta di origine in base alle porte Kerberos TCP/UDP 88. Rimuovendo le esenzioni per il protocollo Kerberos, i pacchetti Kerberos verranno associati a tutti i filtri del criterio IPSec. Pertanto, Kerberos può essere protetto all'interno di IPSec, bloccato o consentito. Se i filtri IPSec corrispondono al traffico Kerberos diretto agli indirizzi IP del controller di dominio, potrebbe essere necessario cambiare la struttura dei criteri IPSec per aggiungere nuovi filtri che consentano il traffico Kerberos diretto a ciascun indirizzo IP di controller di dominio (se non si utilizza IPSec per proteggere tutto il traffico tra i controller di dominio, come descritto nell'articolo 254728 della Microsoft Knowledge Base).

Applicazione delle regole di filtro IPSec al riavvio del computer

L'applicazione di tutti i criteri IPSec avviene a opera del servizio Agente criteri IPSec. Quando un computer basato su Windows 2000 sta per essere avviato, il servizio Agente criteri IPSec non è necessariamente il primo servizio a essere avviato. Il che significa che per un breve istante la connessione di rete del computer potrebbe essere vulnerabile a virus o worm. Questa situazione si verifica solo nel caso in cui un servizio potenzialmente vulnerabile è stato avviato correttamente e sta accettando la connessione prima che il servizio Agente criteri IPSec sia stato completamente avviato e siano stati assegnati tutti i criteri.